W dniu 20 listopada 2024 r. Wojewódzki Szpital Specjalistyczny im. Bł. Ks. J. Popiełuszki we Włocławku poinformował o naruszeniu ochrony danych osobowych, do którego doszło w wyniku przejęcia dostępu do skrzynki mailowej sekretariatu szpitala ([email protected]).
Co się wydarzyło?
Nieuprawniona osoba lub osoby przejęły kontrolę nad skrzynką mailową sekretariatu szpitala, usunęły znajdujące się na niej wiadomości oraz wykorzystały ją do rozsyłania fałszywej korespondencji, której celem było wyłudzanie loginów i haseł do innych skrzynek mailowych. Nie wykluczono również zaboru korespondencji mailowej.
Jakie dane mogły zostać ujawnione?
Szpital nie jest obecnie w stanie określić pełnego zakresu wycieku danych. Wiadomo jednak, że w części korespondencji mogły znajdować się informacje takie jak:
imię i nazwisko,
numer PESEL,
adres zamieszkania.
Obecnie prowadzone są działania analityczne, mające na celu ocenę treści wiadomości oraz zakresu naruszenia.
Potencjalne zagrożenia
Szpital zwraca uwagę na możliwe konsekwencje naruszenia ochrony danych osobowych, które mogą obejmować m.in.:
publikację lub ujawnienie danych wrażliwych, takich jak informacje o stanie zdrowia,
nękanie lub szantaż,
ataki phishingowe,
próby wyłudzenia pożyczek lub ubezpieczeń,
wykorzystanie danych w celu rejestracji kont internetowych czy kart SIM.
Działania szpitala
Po wykryciu naruszenia, szpital podjął szereg działań:
zawiadomił Prezesa Urzędu Ochrony Danych Osobowych, CSIRT NASK oraz CSIRT CEZ,
zgłosił podejrzenie popełnienia przestępstwa,
rozpoczął wewnętrzne śledztwo informatyczne,
zapowiedział dodatkowe szkolenia dla pracowników i wprowadzenie nowych środków bezpieczeństwa.
Jak pacjenci mogą chronić swoje dane?
Szpital rekomenduje podjęcie działań mających na celu zminimalizowanie ewentualnych negatywnych skutków naruszenia, w tym:
zachowanie ostrożności przy kontaktach telefonicznych i mailowych, szczególnie w przypadku próśb o podanie danych osobowych,
zastrzeżenie numeru PESEL (informacje dostępne na stronie gov.pl),
monitorowanie aktywności kredytowej za pomocą alertów w Biurze Informacji Kredytowej,
zmiana loginów i haseł do systemów, w których używano numeru PESEL jako identyfikatora.
Więcej informacji na temat ochrony danych osobowych można znaleźć na stronie: https://bezpiecznedane.gov.pl.
Kontakt w sprawie naruszenia
Wszelkie pytania dotyczące tego incydentu można kierować do Inspektora Ochrony Danych, Magdaleny Adamek-Balcerowicz, pod adresem e-mail: [email protected].
Szpital zapewnia, że bezpieczeństwo danych osobowych pacjentów jest dla niego priorytetem i dołoży wszelkich starań, aby wyjaśnić zaistniałą sytuację oraz zapobiec podobnym incydentom w przyszłości.
Napisz komentarz
Komentarze